Versteh nur Bahnhof beim Einrichten der IPSec VPN Verbindung auf dem D-Link Router
Hallo,
ich habe mir nun bereits die zweite Nacht um die Ohren geschlagen um eine VPN-Verbindung (IPSec) zwischen
dem iPhone und meinem DLink DSR-1000N erfolgreich aufzubauen. Ich kann nicht mehr...
Im Router Menü unter den IPSec Policies gibt es Begrifflichkeiten mit denen ich nicht eindeutig etwas
anfangen kann.
So z.B.
Remote Enpoint
Ich verstehe darunter die IP-Adresse des iPhones, doch die IP ändert sich doch immer
wieder weil mir der Mobilfunkbetreiber keine feste IP gibt
Alternativ kann ich auch als Endpoint ein FQDN eintragen aber nur welchen?
Remote Identifier Type
Da habe ich FQDN ausgewählt und das Wort "iPhone" eingetragen. Dieses wiederum habe ich unter den IPSec Einstellungen
des iPhone als Gruppenname eingetragen. Passt das so?
Loca Identifier Type
Auch hier kann ich zwischen IP und FQDN wählen. Was trage ich aber ein, vielleicht die LOCAL WAN-IP?
In der User-Liste des Routers habe ich natürlich einen entsprechenden User angelegt.
Doch würde ich gerne dort als "Type" IPSec-User eintragen, doch dies wird nicht angeboten.
Ich kann nur zwischen L2TP, PPTP, LocalUser oder XAuth-Uswr auswählen.
Was ist denn nun bei einer IPSec-Verbindung auszuwählen?
Gibt es denn überhaupt eine "reine" IPSec-VPN Verbindung oder muss ich hier eher L2TP/IPSec
nutzen?
Nach eben den zwei Nächten bin ich immer wieder einen Schritt weiter gekommen. So bekomme
ich nun im VPN-Log schon mehr hin wie zu Beginn. Doch am Ende kommen zwei Fehlermeldungen
mit denen ich nichts mehr anfangen kann:
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: sendfromto failed
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: sendto (Invalid argument)
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: DPD
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: CISCO-UNITY
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: RFC 3947
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Beginning Aggressive mode.
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received request for new phase 1 negotiation: 78.42.2.132[500]<=>109.84.0.11[61480]
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Configuration found for 109.84.0.11[61480].
Was bedeutet ERROR: sendfromto failes bzw. ERROR: sendto (Invalid argument)?
Ich wäre euch so dankbar über Tipps und Anregungen
Basti
ich habe mir nun bereits die zweite Nacht um die Ohren geschlagen um eine VPN-Verbindung (IPSec) zwischen
dem iPhone und meinem DLink DSR-1000N erfolgreich aufzubauen. Ich kann nicht mehr...
Im Router Menü unter den IPSec Policies gibt es Begrifflichkeiten mit denen ich nicht eindeutig etwas
anfangen kann.
So z.B.
Remote Enpoint
Ich verstehe darunter die IP-Adresse des iPhones, doch die IP ändert sich doch immer
wieder weil mir der Mobilfunkbetreiber keine feste IP gibt
Alternativ kann ich auch als Endpoint ein FQDN eintragen aber nur welchen?
Remote Identifier Type
Da habe ich FQDN ausgewählt und das Wort "iPhone" eingetragen. Dieses wiederum habe ich unter den IPSec Einstellungen
des iPhone als Gruppenname eingetragen. Passt das so?
Loca Identifier Type
Auch hier kann ich zwischen IP und FQDN wählen. Was trage ich aber ein, vielleicht die LOCAL WAN-IP?
In der User-Liste des Routers habe ich natürlich einen entsprechenden User angelegt.
Doch würde ich gerne dort als "Type" IPSec-User eintragen, doch dies wird nicht angeboten.
Ich kann nur zwischen L2TP, PPTP, LocalUser oder XAuth-Uswr auswählen.
Was ist denn nun bei einer IPSec-Verbindung auszuwählen?
Gibt es denn überhaupt eine "reine" IPSec-VPN Verbindung oder muss ich hier eher L2TP/IPSec
nutzen?
Nach eben den zwei Nächten bin ich immer wieder einen Schritt weiter gekommen. So bekomme
ich nun im VPN-Log schon mehr hin wie zu Beginn. Doch am Ende kommen zwei Fehlermeldungen
mit denen ich nichts mehr anfangen kann:
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: sendfromto failed
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] ERROR: sendto (Invalid argument)
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: DPD
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: CISCO-UNITY
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received unknown Vendor ID
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received Vendor ID: RFC 3947
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Beginning Aggressive mode.
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Received request for new phase 1 negotiation: 78.42.2.132[500]<=>109.84.0.11[61480]
Fri Jul 29 09:40:08 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Configuration found for 109.84.0.11[61480].
Was bedeutet ERROR: sendfromto failes bzw. ERROR: sendto (Invalid argument)?
Ich wäre euch so dankbar über Tipps und Anregungen
Basti
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 170621
Url: https://administrator.de/forum/versteh-nur-bahnhof-beim-einrichten-der-ipsec-vpn-verbindung-auf-dem-d-link-router-170621.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
10 Kommentare
Neuester Kommentar
Hi !
Forenmitglied aqui hat mehrere Tutorials zum Thema VPN geschrieben! Siehe auf der linken Seite bei "Top Aktivitäten" oder verwende die Suchfunktion des Forums!
In seinen Tutorials werden die Begrifflichkeiten zum Thema genau erklärt. Arbeite die durch, dann solltest Du das hinbekommen. Natürlich kann Dir der Mobilfunkprovider einen Strich durch die VPN Rechnung machen, Im Zweifel kannst Du den aber fragen. Manche Provider bieten keine wirkliche, öffentliche IP (zumindest war das mal eine Zeit lang bei Billiganbietern so). Mit VPN über Mobiltelefone habe ich noch Nachholbedarf (eigentlich auch nicht, wehre mich noch eisern gegen ein eigenes Smartphone) aber das tut ja hier nicht zur Sache...
mrtux
Forenmitglied aqui hat mehrere Tutorials zum Thema VPN geschrieben! Siehe auf der linken Seite bei "Top Aktivitäten" oder verwende die Suchfunktion des Forums!
In seinen Tutorials werden die Begrifflichkeiten zum Thema genau erklärt. Arbeite die durch, dann solltest Du das hinbekommen. Natürlich kann Dir der Mobilfunkprovider einen Strich durch die VPN Rechnung machen, Im Zweifel kannst Du den aber fragen. Manche Provider bieten keine wirkliche, öffentliche IP (zumindest war das mal eine Zeit lang bei Billiganbietern so). Mit VPN über Mobiltelefone habe ich noch Nachholbedarf (eigentlich auch nicht, wehre mich noch eisern gegen ein eigenes Smartphone) aber das tut ja hier nicht zur Sache...
mrtux
Der IPsec Client im iPhone ist ein ESP Client der nur mit Xauth funktioniert. Vermutlich supportet deine D-Link Gurke das nicht und dann scheitert das immer.
Einfacher ist es immer eine PPTP Verbindung als VPN Verbindung im iPhone aufzubauen.
Router wie z.B. die von Draytek und auch dein DSR-1000N supporten alle auch PPTP.
Vielleicht hilft dir das Einrichtungsbeispiel einer Fritzbox für den IPsec Client im iPhone. Die FB supportet diese Feature: (Xauth User wäre bei dir richtig !)
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Details zum IPsec Protokoll findest du hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Wie bereits gesagt schalte um auf PPTP (Anhand deiner Traces sieht man das du derzeit IPsec als VPN nimmst !) und richte den PPTP VPN Server im DSR-1000N ein !!
Dein DSR-1000N supportet auch PPTP. Nutze also besser das, das führt dann auch zum Erfolg !
VPNs einrichten mit PPTP
Einfacher ist es immer eine PPTP Verbindung als VPN Verbindung im iPhone aufzubauen.
Router wie z.B. die von Draytek und auch dein DSR-1000N supporten alle auch PPTP.
Vielleicht hilft dir das Einrichtungsbeispiel einer Fritzbox für den IPsec Client im iPhone. Die FB supportet diese Feature: (Xauth User wäre bei dir richtig !)
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Details zum IPsec Protokoll findest du hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Wie bereits gesagt schalte um auf PPTP (Anhand deiner Traces sieht man das du derzeit IPsec als VPN nimmst !) und richte den PPTP VPN Server im DSR-1000N ein !!
Dein DSR-1000N supportet auch PPTP. Nutze also besser das, das führt dann auch zum Erfolg !
VPNs einrichten mit PPTP
Anhand des Eintags "IKE" kann man erkennen das du vermutlich den gut gemeinten Rat mit PPTP ignorierst und weiterhin mit IPsec zum Erfolg kommen willst.
IKE ist ein Bestandteil des IPsec Protokolls !!! (Internet Key Exchange Protocol) Siehe Beschreibung des IPsec Protokolls oben !
Soweit sieht das aber gut aus...auch das du mit dem Client hinter einem weiteren NAT Router liegst, was nicht ganz unproblematisch ist aber dein aktiviertes NAT Traversal das ausbügelt:
INFO: NAT detected: Peer is behind a NAT device
[IKE] INFO: NAT-D payload does not match for 88.67.50.46[54343]
[IKE] INFO: NAT-D payload matches for 78.42.2.132[4500]
[IKE] INFO: For 88.67.50.46[50343], Selected NAT-T version: RFC 3947Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Floating ports for NAT-T with peer 88.67.50.46[54343]
Das Problem ist das die D-Link Krücke nicht mit der vendor ID zurechtkommt, aber da fehelen die weiteren Debug Outputs ob er abbricht oder im Aggressive Mode weitermacht.
So oder so.... Die Empfehlung war aber ganz klar kein IPsec zu verwenden sondern deine D-Link Gurke mit PPTP als VPN zu aktivieren.
Schalte also bitte erstmal den D-Link in den PPTP Modus, konfiguriere entsprechend einen User und benutze im iPhone den PPTP VPN Client !!
PPTP hat weniger Fallstricke und DAS solltest du erstmal testen und IPsec vergessen.
IPsec kann man immer noch später machen bzw. testen. Wichtig wäre auch ein Test ob der D-Link ggf. L2TP erwartet im IPsec Modus, denn L2TP basiert ebenfalls auf IPsec.
Also erstmal IPsec vergessen und PPTP machen und ggf. den PPTP Debug Output hier posten ! Halte die an das PPTP Tutorial oben...
IKE ist ein Bestandteil des IPsec Protokolls !!! (Internet Key Exchange Protocol) Siehe Beschreibung des IPsec Protokolls oben !
Soweit sieht das aber gut aus...auch das du mit dem Client hinter einem weiteren NAT Router liegst, was nicht ganz unproblematisch ist aber dein aktiviertes NAT Traversal das ausbügelt:
INFO: NAT detected: Peer is behind a NAT device
[IKE] INFO: NAT-D payload does not match for 88.67.50.46[54343]
[IKE] INFO: NAT-D payload matches for 78.42.2.132[4500]
[IKE] INFO: For 88.67.50.46[50343], Selected NAT-T version: RFC 3947Fri Jul 29 19:54:29 2011 (GMT +0200): [DSR-1000N] [IKE] INFO: Floating ports for NAT-T with peer 88.67.50.46[54343]
Das Problem ist das die D-Link Krücke nicht mit der vendor ID zurechtkommt, aber da fehelen die weiteren Debug Outputs ob er abbricht oder im Aggressive Mode weitermacht.
So oder so.... Die Empfehlung war aber ganz klar kein IPsec zu verwenden sondern deine D-Link Gurke mit PPTP als VPN zu aktivieren.
Schalte also bitte erstmal den D-Link in den PPTP Modus, konfiguriere entsprechend einen User und benutze im iPhone den PPTP VPN Client !!
PPTP hat weniger Fallstricke und DAS solltest du erstmal testen und IPsec vergessen.
IPsec kann man immer noch später machen bzw. testen. Wichtig wäre auch ein Test ob der D-Link ggf. L2TP erwartet im IPsec Modus, denn L2TP basiert ebenfalls auf IPsec.
Also erstmal IPsec vergessen und PPTP machen und ggf. den PPTP Debug Output hier posten ! Halte die an das PPTP Tutorial oben...
Hi !
Hehe, als damals die Mauer geöffnet wurde, hat so mancher ehemalige DDR Bürger einen Fiat für einen Ferrari gehalten und nur weil eine poplige Schubkarre einen Spoiler hat, ist sie noch lange kein Rennflitzer...So mancher Wessi hat sich mit der Unwissenheit der Ossis eine goldenen Nase verdient und die haben das schmerzlich lernen müssen, was real existierender Kapitalismus bedeutet. Und ähnlich ist das mit Prospekten (und Aussagen von Verkäufern) in der IT....
100 Mbit bekommst Du da nie heraus...Vielleicht einfach nicht alles glauben was in Computerzeitschriften steht... :-P
mrtux
Zitat von @basti76nie:
Die "Dlink-Krücke" hat mich stolze 350€ gekostet! Ich dachte mit dem Dlink den Ferrari unter den Routern
gekauft zu haben.
Die "Dlink-Krücke" hat mich stolze 350€ gekostet! Ich dachte mit dem Dlink den Ferrari unter den Routern
gekauft zu haben.
Hehe, als damals die Mauer geöffnet wurde, hat so mancher ehemalige DDR Bürger einen Fiat für einen Ferrari gehalten und nur weil eine poplige Schubkarre einen Spoiler hat, ist sie noch lange kein Rennflitzer...So mancher Wessi hat sich mit der Unwissenheit der Ossis eine goldenen Nase verdient und die haben das schmerzlich lernen müssen, was real existierender Kapitalismus bedeutet. Und ähnlich ist das mit Prospekten (und Aussagen von Verkäufern) in der IT....
Der alte Draytek hat trotz 100Mbit/s-Leitung nur ca. 30Mbit/s am LAN durchgebracht! Deswegen überhaupt der Wechsel des
Routers.
Routers.
100 Mbit bekommst Du da nie heraus...Vielleicht einfach nicht alles glauben was in Computerzeitschriften steht... :-P
mrtux
@basti...
Da kann man den Vorrednern nur uneingeschränkt zustimmen.... D-Link und NetGear sind berühmt berüchtigt für ihre Fehlfunktion bei VPNs da muss man sich also nicht wundern wenn sowas wie bei dir passiert. Wenigstens kann man nur hoffen das du zum Testen die aktuelle Firmware geflasht hast ?!
Andere Hersteller wie Draytek, Lancom, Mikrotik 750, Cisco oder auch freie Lösungen wie Monowall oder pfSense funktionieren völlig problemlos und absolut stabil mit der VPN Funktion...nur mal so zum Vergleich.
Ein Draytek der dir den Ärger nicht gemacht hätte, hätte dich 150 Euro gekostet, Ein Cisco 831 etc. bei eBay auch nur unwesentlich mehr...., der Mikrotik 750 nur 30 Euro.
Viel Geld also sinnlos für ein schlechtes Billigprodukt verbrannt wo hier das "schlecht" sich auf die bekannt buggy Firmware bezieht ! Der Hotline Support hat vorher gerade ein paar Gas- und Stromkunden bedient und den erklärt wie die ihre Zähler ablesen, oder hast du erwartet das dort die D-Link Entwickler sitzen. Die sitzen in Indien....
Was erwartest du also von deinem Router ?!
Da kann man den Vorrednern nur uneingeschränkt zustimmen.... D-Link und NetGear sind berühmt berüchtigt für ihre Fehlfunktion bei VPNs da muss man sich also nicht wundern wenn sowas wie bei dir passiert. Wenigstens kann man nur hoffen das du zum Testen die aktuelle Firmware geflasht hast ?!
Andere Hersteller wie Draytek, Lancom, Mikrotik 750, Cisco oder auch freie Lösungen wie Monowall oder pfSense funktionieren völlig problemlos und absolut stabil mit der VPN Funktion...nur mal so zum Vergleich.
Ein Draytek der dir den Ärger nicht gemacht hätte, hätte dich 150 Euro gekostet, Ein Cisco 831 etc. bei eBay auch nur unwesentlich mehr...., der Mikrotik 750 nur 30 Euro.
Viel Geld also sinnlos für ein schlechtes Billigprodukt verbrannt wo hier das "schlecht" sich auf die bekannt buggy Firmware bezieht ! Der Hotline Support hat vorher gerade ein paar Gas- und Stromkunden bedient und den erklärt wie die ihre Zähler ablesen, oder hast du erwartet das dort die D-Link Entwickler sitzen. Die sitzen in Indien....
Was erwartest du also von deinem Router ?!